小心手机成黑客“取款机” 手机能读银行卡信息
小心手机成黑客“取款机” 手机能读银行卡信息时间：
栏目：作者：核心提示近日,王小姐偶然发现,当手机靠近银行卡后,手机会自动显示银行卡号及交易记录,其中包括交易的时间、在哪个银行网点...
微信热点文章乐视手机使用NFC代替银行卡刷卡操作教程
发布时间：
随着iPhone6发布的Apple Pay后，移动支付现在越来越便捷，相信现在很多人出门都只带一部手机出门，不再带钱包了。iPhone使用的Apple Pay技术，其实也是使用的NFC的功能，只是目前iPhone只是NFC的其中一个功能，目前很多智能手机也都带上了NFC的功能，而且也比iPhone的支付功能更多。乐视Pro3就是一个支持NFC的机器之一，虽然乐Pro3也是全功能的NFC，但很少人有知道乐Pro3的NFC如何使用，下面教大家一个类似Apple Pay的移动支付的方法。乐视Pro3的全功能NFC可以实现模拟银行卡使用，将实体银行卡的功能“复制”到手机的NFC安全芯片中，这样手机就可以当银行卡来刷卡了。以招商银行的信用卡为例，带你来体验NFC刷卡功能。首先需要下载招商银行信用卡的掌上生活APP，登录你的账户后，在卡支付界面下找到一闪通。选择第一项申请--然后选择“添加云闪付卡”，选中你的银行卡，同意协议点击确定即可。确定后需要你银行卡绑定的手机号短信验证激活。以后取消卡支付或管理银行卡都是在这里操作。激活成功之后还不能使用，需要到手机的设置中简单的设置一下。到手机的设置--更多--NFC--开启，并且把下方的默认付款应用选择账上生活，这时候手机上的整个操作就完成了。当然手机刷卡也有一些限制，需要在支持云闪付的POS机上才能正常刷卡，不过好在现在的大部分POS机都是支持的了。手机无需运行客户端，只需要在亮屏的情况下，将手机的NFC模块往POS机的感应区靠近，POS识别后输入银行卡密码即可。 现在大部分的银行卡都支持这样的功能，下载安装自己银行卡对应的客户端，在APP中申请开通即可，方法都与以上步骤类似，手中有NFC功能手机的朋友可以去尝试体验。此功能不仅可用来刷卡，也可以代替银行卡在部分ATM机用该手机替代银行卡办理查询、存取款等业务，或者在银行网点使用该手机替代银行卡办理业务，十分方便。
热门加盟项目从手机到 ATM 机，招行“一闪通”终于想明白了 NFC 支付本周招商银行正式发布了在移动金融领域的新功能「一闪通」。简单来说「一闪通」为招行用户开通了 NFC（即近场通讯技术）手机支付功能。用户可以在贴有银联认证的「闪付（Quick Pass）」 POS 机上进行消费。
全新的可视化 ATM 机器此外招行巧妙地将这套 NFC 体系移植到了即将整体更新的 ATM 机上，新的 ATM 机承接了开卡、转账等大部分业务，开通了「一闪通」的手机成为了激活自助服务的钥匙。Apple Pay 无疑让移动支付的概念变得滚烫，然而从让招行做出如此大的变革，不得不归功于 NFC 支付这两年的进化。NFC 用 2 年时间完成进化银联在 2012 年 2 月正式推出了「闪付」的认证方式，表示经过「闪付」认证的支付终端超过 62 万台，官方完成了国内最大规模的 NFC 支付推广。然而此时 NFC 芯片并非手机标配，为了提前赶上 NFC 的支付浪潮，一些替代方案被提出：支持 NFC 功能的银行卡就是其中的方案之一，2012 年 6 月中国移动与浦发银行推出了「中国移动浦发银行联名卡」，其兼具个人信用卡账户、借记卡账户和电子现金账户功能，并能实现手机近场支付。随后工行也推出了类似的「闪酷」卡。将 NFC 功能移植到手机的 SIM 卡上成为了另一套方案，2012 年 11 月，联通和招行合作，用户可以将招商银行的账户加载到专用手机 USIM 卡上，从而完成移动支付。然而这两套方案都面临着换卡，重新教育用户的问题，2 年来我们只是听到了相关试点信息，但无法大面积商用。只有不增加使用成本，并提供更快捷的服务才能获得主流市场的认可，给带有 NFC 的手机开通该功能无疑是最直接的方式，终于，两年后主流手机厂商开始将 NFC 作为标配参数。由于目前银行体系内的 NFC 支付必须走银联渠道，银联对 NFC 市场的普及起到了至关重要的作用。本周银联宣布，支持「闪付」的 POS 机相比两年前已经扩充到 6 倍，从今年 9 月份开始出货的银联 POS 机将全部支持「闪付」。不论数字的可靠性，我们已经看到北京所有的麦当劳都增添了贴有「闪付」标志的 POS 机。虽然 NFC 支付步履蹒跚，但其他支付方式已经耳熟能详，他的使命极其简单——让用户习惯。转折点在于用户的习惯苹果和银联合作后特意将很多优秀 app 的售价降价为 1 元，促使很多没有外币支付功能的用户将银行卡绑定到苹果账户下。在北京的地铁和一些互联网公司的写字楼中已经铺设了友宝的自动售卖机，支付宝的声波支付是推荐的购买方式之一。当然最可怕的是微信对二维码的全民教育，通过二维码添加好友，了解商品信息以及完成线下支付。滴滴和快递对峙，至少让上班族逐渐习惯了应用内支付的体验，这样的习惯也会被引导到便利店和商场的购物中。
新的小型柜员机，同样能够办理大部分柜员业务招行升级 ATM 机是一个非常精明的措施，当外部市场逐渐被其他对手教育养成习惯，「闪付」POS 机的铺设不能只靠自家之力，不如让离自己最近的用户成为第一批意见领袖。一台小型柜员机将放置在大堂，方便用户自助办理业务，而最新的 ATM 机器支持和招行员工的视频通话，主要服务对象就是上了年纪的老年人。虽然各家都在标榜移动支付的安全性，但我们知道，用户习惯才是隐性的门栏。目前「一闪通」功能已经被添加在招行的 2 个 app「招商银行」和「掌上生活」的最新版本中，如果你是荣耀 6 Plus GALAXY Note 4、OPPO N3 的用户就有机会成为第一批体验用户。分享关注极客公园公众号& & & 自支付宝钱包8.0推出了NFC新功能，仅仅要将支持NFC功能的手机靠近公交卡、银行卡等带有芯片的IC卡上，可迅速读取卡内剩余金额、卡的信息，还能够给卡进行充值，很贴心有用。
& & & &可是非常多网友表示担忧，要是别人用手机紧贴着我的银行卡，那么信息不就轻易泄露了，这样会威胁我的资金安全吗？并有不少伪专家宣称，NFC手机有可能成为黑客的“提款机”，能够实现转账操作，风险非常大，网友表示非常操心。真实情况是什么样的呢？让我从专业的角度，给大家道出内幕。
& & & NFC（近场通信，NearFieldCommunication），又称近距离无线通信，是由非接触式射频识别（RFID）及互联互通技术整合演变而来，在单一芯片上结合感应式读卡器、感应式卡片和点对点的功能，能在短距离内与兼容设备进行识别和数据交换。由飞利浦半导体（现恩智浦半导体）、诺基亚和索尼共同研制开发，其基础是RFID及互联互通技术。
& & & 自从2006年诺基亚推出第一部NFC手机開始，如今越来越多的智能手机已支持NFC技术。比方，诺基亚Lumia系列、三星Galaxy及Note系列、索尼Xperia系列、HTCOne系列以及国内小米手机3、Oppo、魅族等部分手机，均已支持NFC技术。有传言iPhone6将添加该功能。
& & & NFC手机可以读取信息的距离，直接决定了获取银行卡号的难易程度。依据网友的測试，发现仅仅要距离超过5cm，就无法读出银行卡信息。所以假设你操心你的信息被窃，那么建议将卡片装入钱包中，信息被窃的可能性就会减少。
& & & 用安装有支付宝钱包的NFC手机，不同的银行卡能够读取的信息不尽同样，依据网友測试，结果例如以下：
& & & & 银行卡 & & & & &&
& & & 卡号显示 & & &&
& & & 卡内剩余金额 & & &&
& & 电子钱包剩余金额 & &
& & & 近10笔交易 & & & &
& & & & & & 身份证号 & & & & &
开头末尾两位
开头末尾两位
& & &&我个人用了多家银行数据測试，发现部分银行卡是无法正常识别，经过重复改动数据发现，支付宝钱包是通过读取0201DGI中的数据，识别银行卡号，发送指令00B2011444，所以仅仅要0201的长度不等于44H，多数卡片都会返回6CXX,就无法正确识别卡片。但这不符合PBOC3.0规范要求的，PBOC3.0第五部分B.12 &读记录C-APDU/R-APPDU中要求le为00，或许是支付宝有意而为之，仅仅针对合作伙伴的卡片吧。
& & & 那么这些信息，是怎样实现的呢？首先看银行卡号，银行卡号在芯片卡内以5A标签存在，通常会存放在0201DGI中，假设发送指令00B2011400就可以读出这条以70模板開始的记录数据，比如返回AFE1F009F0D05DF0E9F0F05DFB9FF1AA029A039C019FF4E148D1A8A029FF1AA029A039C019F，依据TLV模板规则解析，就可以得到数据例如以下：
& & & & & & & & 标签 & & & & & & & &
& & & & & & & & & &定义 & & & & & & & & &&
& & & & & & & & & &长度 & & & & & & & & &&
& & & & & & & & & & & & & & & & & & & & & 数据 & & & & & & & & & & & & & & & & & & &&
应用失效日期
应用生效日期
应用主帐号
应用使用控制
CVM列表，借贷记
IAC默认借贷记
IAC拒绝借贷记
IAC联机借贷记
发卡行国家代码
…………..
…………..
…………..
…………..
& & &同理，身份证号9F61标签也能够读取到，一般写入到DGI0102中，能够通过00B2020C00读取，这条记录会返回证件号9F61，姓名5F20，证件类型9F62等。
& & & 电子现金剩余金额在卡内用9F79标签标识，长度为6字节，眼下最大值为1000元即，由卡内数据9F77（电子现金剩余金额上限）限制，单笔交易最大额度由9F78（电子现金单笔交易限额）限制。当你的电子钱包剩余金额小于9F6D(电子现金重置阈值)时，卡片会自己主动从主账户圈存金额至9F79。这里介绍的这些数据都能够通过GET DATA指令获取，比如非接触下发送80CA9F7900，就可以获取电子现金剩余金额。但卡内剩余金额是不能够获取的，仅仅有输入联机PIN码，联机情况下才干够。
& & &再来看看交易日志，银行芯片中假设有9F4D（交易日志入口）， 那么卡片将会自己主动记录日志，JR/T 0025推荐此值为0B0A，0B表示循环交易日志文件的SFI，此值范围应在11-30之间，0A表示交易日志文件里的记录个数为10条。在PBOC3.0规范第五部分表B.27中提到9F4D是O（可选的），也就是说假设卡片不须要记录日志，那就不是必需写入9F4D。
& & & 交易日志格式在个人化数据中用9F4F标签标识，在银联模板中推荐了多组值，比如此值为9A039F6 9FA02 5F2A02 9F4E14 9C01 9F3602，格式为Tag+Length，表示记录日志中应包括：交易日期(9A),交易时间(9F21),授权金额(9F02),其他金额(9F03),终端国家代码(9F1A),交易货币代码(5F2A),商户名称(9F4E),交易类型(9C),应用交易计数器(9F36)。此值由银行依据须要自己定义。终端能够通过取数据（GET
DATA）命令获取9F4F的值，在非接界面下发送80CA9F4F00就可以。
& & & 那怎样读出记录呢？终端会通过发送读指令获取日志，记录的读取权限为自由，比如发送指令00B2015C00，获取第一条记录，依据PBOC3.0规范第五部分B.12中定义，前两个字节00B2固定，分别为CLA,INS。第3个字节01表示记录号，也就是须要读取第几条记录。5C为我们读取的记录文件标识，我们9F4D中定义为0B，那么0B*8+4=5C。比如我读取第一条记录返回696EE003，依据上面所列tag解析得到：
& & & & & & & & & 标签 & & & & & & & & & &
& & & & & & & & & & & & & & 定义 & & & & & & & & & & & & &&
& & & & & & & & & & & & & & & & & & & & & & & & &数据 & & & & & & & & & & & & & & & & & & & & & & & &
终端国家代码
交易货币代码
应用交易计数器
& & & &眼下PBOC3.0规范第13部分中还添加了圈存日志记录， 圈存日志文件的短文件标识符和记录个数在圈存日志入口数据元（DF4D）中规定。 DF4D的第一个字节定义了圈存日志记录文件的短文件标识符， 圈存日志记录文件的短文件标识符取值范围应在11-30之间，JR/T 0025推荐圈存日志的短文件标识符为12 （即0x0C） ，圈存日志入口数据元应在选择应用的时候返回， 由卡片在ADF的FCI中的BF0C模板中返回，和交易日志数据元返回一样。DF4D的第二个字节定义了圈存日志记录个数。卡片应支持至少存储十条圈存日志。依据系统商数据，眼下除银联提供的数据DF4D为0C14，即最多记录20条日志外，其他系统商提供的数据均为0C0A，即记录10条圈存日志。
& & & 圈存日志格式在DF4F中定义，此值能够通过Get Data命令获取，发送指令80CADF4F00。PBOC3.0规范第13部分表11中推荐此值为DF4F0E9A039FF4E149F3602，例如以下：
& & & & & &&& & & & & &&标签& & & & & &&& & & & & &&
& & & & & & & & & & & & & & & & & & & & &定义 & & & & & & & & & & & & & & & & & & & &&
& & & & & & & & & & & & & & & & 长度（字节） & & & & & & & & & & & &
终端国家代码
应用交易计数器（AT C）
& & &圈存日志提供两种读取方法，能够逐条读取，比如发送00B2016400读取第一条记录，64为我们读取的记录文件标识，我们DF4D中定义为0C，那么0C*8+4=64。也可一次性读取所有圈存日志，此目的是为了在自助设备或者发卡行柜台获取由MAC保护的完整圈存日志，以便发生账户差错时为调账提供參考。发送的指令仅仅需第3字节为00就可以，00B2006400。
& & &所以上表所显示的内容完整性，数据的多少，都是能够由NFC手机软件操控的。金融IC卡中写入的大部分数据都能够自由读取，但不用操心卡片会被复制，由于眼下的金融卡中82（应用交互特征）都支持DDA（动态认证），动态认证中须要卡片私钥參与认证，私钥是不能被读取的，所以卡片不会被完整的克隆。
& & & 金融IC卡为了交易方便，快捷，大部分银行在接触电子现金及非接触QPBOC环境下，都选择免输脱机PIN，仅仅需签名或免签就能够完毕交易。持卡人验证方法是由卡内数据8E决定的。
& & & 终上所述，假设芯片银行卡被未经授权的人使用NFC手机读取信息，可能导致银行卡号、证件号码，姓名等相关隐私信息被窃取，但这些信息并不能直接导致银行卡资金被盗。眼下BCTC送检已经建议银行个人化数据中尽量避免出现姓名和证件号码等内容，这些信息能够由银行后台去关联。
& & & 眼下PBOC3.0卡片已经陆续发行，在14部分添加了Q扩展应用，包含地铁应用，公交应用，快速公路不停车收费，停车收费咪表应用，铁路（高铁）应用等，这些应用的交易日志也是能够自由读取的。随着社会的发展，技术的进步，持有类似NFC手机终端的用户会持续添加，那么用户信息的安全性就显得越来越重要。假设银行还想继续和顾客一起愉快的玩耍，那就必须考虑到顾客的担忧，毕竟他是你的上帝。
& & &日中国人民银行支付结算司叫停了虚拟信用卡和二维码支付业务。主要由于虚拟信用卡，定位监管上存在模糊地带，并且触动了银联的利益。但第三方支付企业仍在茁壮成长，并且在鼓舞发展互联网金融的大背景下，二维码支付和虚拟信用卡仍有恢复的可能。日，支付宝宣布将启动“未来医院计划”,也就是“手机医院”，市民能够在家用手机挂号、支付宝付费，到医院直接进诊室就诊，仅仅需在家关注手机“实时叫号”，就可轻松看病。日，支付宝在首届城市建设信息技术产品博览会上，对外宣布了“未来公交”计划，并联手住房和城乡建设部IC卡应用服务中心,
公布了城市一卡通应用，它能让用户把随身的手机变成一张通行全国35个城市的公交卡。随着电子商务的深入，在线支付需求扩大，促使发行虚拟卡的行业越来越多，虚拟卡时代的到来，也意味着物理卡片的消亡。
本博文刊登在《卡技术与安全》杂志 副刊《支付e时代》8月刊&
文/闫鑫原创&&&转载请注明出处
阅读(...) 评论()